Pokud máte nainstalována některá rozšíření Firefoxu, například Download Statusbar nebo Greasemonkey, je váš prohlížeč zranitelný a umožňuje napadení pomocí directory traversal. Pokud navštívíte útočníkovu stránku, je tento schopen přečíst soubory na předpokládaných místech na disku, čímž může zjistit jaké aplikace jsou nainstalovány. Tyto informace jsou pak použitelné ke zjištění jaký typ útoku lze na daný systém použít. Podrobnosti na bugzilla.mozilla.org.
Firefox s některými rozšířeními je zranitelný
25. 1. 2008
28
nových názorů
-
Michal SmržStříbrný podporovatelMyslím ale, že právě proto by mozilla měla třeba top10 rozšíření testovat. Protože jsou to rozšíření, které používám téměř všichni. Bez nich je firefox opravdu chudý prohlížeč a toto nahrává do karet integrovaným řešením v Opeře (mimochodem, Operisti se asi teď hezky smějí, ale v tuto chvíli mají pravdu). -
hawran (neregistrovaný)No ja nevim. Ted jsem se dival na 'Firefox Add-ons: Recommended Add-ons' a zjistil jsem ze z cele te zaplavy pouzivam asi 3. Zato mam spoustu jinych.
Za rozsireni by mel odpovidat autor, mam za to, ze vyvojari Mozilly maji dost dulezitejsich problemy k vyreseni... -
Petr Tomeš (neregistrovaný)Zalez si sám, anonýmku. Jak říkám, drtivá většina uživatelů používá Firefox bez rozšíření (viz statistiky a zkušenosti). To znamená, že používá čím dál tím populárnější produkt, který toho umí více a je přívětšivější než většinový prohlížeč v nejnovější verzi, stejně tak oproti celosvětově druhému nejpoužívanějšímu prohlížeči Safari. A těmto uživatelům Opera nemá kromě přeplácaného a méně přívětivého rozhraní co nabídnout. To jen pár geeků bude pořád vyřvávat nějaký pseudoskutečnosti.
-
Petr Tomeš (neregistrovaný)Stačí se rozhlédnout kolem sebe. A když ještě nedávno bylo na hlavním webu pro rozšíření to nejpopulárnější staženo maxiálně několiksettisíckrát, tak je to úplně zanedbatelné vůči stamilionům stažení a uživatelů Firefoxu, i vůči 50 milionům pingů každý den na servery Mozilly. Jednoduché jako facka.
-
anonymníProsim? Ohanel jsi se statistikami. Zadne nejsou. Rozhlizet se kolem sebe? To jsou ale vpravde relevantni a vypovidajici data.
Co vypovida nejaky pocet pingu?
A pokud by byla pravda, ze drtiva vetsina uzivatelu firefox pouziva bez extensions, pak zcela ztraci smysl tvoje opevovani ho jako nejlepsiho prohlizece na svete.
Hlavni sila frefoxu je v extensions. Bez nich je to porad jeste pomaly moloch, ktery krome renderovani webu neumi skoro nic. -
Petr Tomeš (neregistrovaný)Statistiky jsou, ale nebudu je kdejakému čičmundovi hledat. Najdi si je sám. Já je viděl a četl na to, abych si udělal názor. A pokud jde o drtivou většinu uživatlů Firefoxu bez rozšíření, tak právě to potvrzuje, že je nejlepší, protože mu jako jedinému roste nejrchleji tržní podíl už hodně let, získává jedno ocenění za druhým, a je technologicky vyspělejší, funkčnější a komfortnější než nejrozšířenější prohlížeč, ale naopak není tak přeplácaný jako Opera, které navíc chybí tak základní funkce jako je třeba systém aktualizací. Někteří lidé mají zjevně stále problém pochopit, že webový prohlížeč má především prohlížet web. Tak jako když Google před 8 lety začal prohledávat web. A po pár letech to již byl zdaleka nejpoužívanější a nejlepší vyhledávač. Všehoschopná Opera se stagnujícím podílem 0,6 % po deseti letech opravdu nikoho nezajímá.
-
anonymníTo me u tebe ale opravdu prekvapuje. Jindy kdejakeho cicmundu odkazujes i bez zadosti a to hned na nekolik mist v jednom komentari :))
Argumentace stylem statistiky existuji, ja je videl a argumentuji s nimi a ty si je najdi sam je opravdu nesmyslna.
Oceneni? :) Mimochodem co takhle firfox prosadit jako ISO standard? :))
Plati vase vyjadrovani o stagnujici Opere take pro linux? Tam ta cisla nevypadaji o moc lepe, ze? :)) -
Petr Tomeš (neregistrovaný)Ja to kvuli vam hledat nebudu. Me staci, ze vim, ze je to fakt. Pokud se vam to nelibi, je to vas problem. Oceneni - nekdo je ma a nekdo je nema, a nekdo je musi teda aspn krast tak jako Opera. Podil Linuxu se za posledni rok zdvojnasobil a predehnal tak Operu, jejiz podil ze zvysil asi tak v radu procent. Staci vam to?
-
Mark12 (neregistrovaný)VAzeny, vy vylozene usilujete o konflikt, o nic jineho vam nejde jinak byste musel uznat ze ma pravdu. Pocty instalaci firefouxu ktere odpovidaji jeho podilu na trhu jsou proste v hrubem nepomeru k poctum stazeni i tech nejpopularnejsich rozsireni, takze je naprosto zrejme ze drtiva vetsina lidi pouziva firefox ve sve zakladni variante bez techto rozsireni. Co chcete vic? Statistika neni potreba, je to totiz naprosto zrejme uz z techto cisel i kdyby tam byla nejaka patrnejsi odchylka stale je jasne ze rozsireni pouziva spise malo kdo. Ze zrovna vy nebo ja se bez nich neobejdeme naprosto nic neznamena.
-
anonymnístaci naintalovat Noscript, co je must be installed a je po riziku
Firefox users can protect themselves by using the NoScript extension, which will prevent the traversal attacks from working
http://www.theregister.co.uk/2008/01/24/firefox_data_leakage_bug/ -
anonymníPročpak by ne?
Nepredpokladam, ze si ho tam daji sami. Stejne tak si tam ale sami nedaji ani ten firefox. Extension jim tam nahraje ten, kdo jim bude FF instalovat (nejspis vnuk/vnucka).
A mimochodem resit bezpecnostni diru v extensions tim, ze si nainstaluju dalsi extensions... zive si predstavuju tu debatu tady kdyby s necim takovym prisem microsoft... -
Jenze kdyz si prectes originalni zpravu, doctes se, ze chyba neni v tech rozsirenich samotnych, ale ve zpusobu, jakym k nim FF pristupuje. Nachylny je FF s nainstalovanymi rozsirenimi v jednom z moznych formatu - ne JAR, ale "flat" - asi proste volne lzoene soubory.
Zni tak nejak logicky, ze pak se soubory tech rozsireni ctou primo z disku a nekde tam je chybka, ktera utocnikovi umozni pomoci upravenych cest zjistit, jestli tam nejake soubory (predem znamych jmen) jsou nebo nejsou. -
funTom (neregistrovaný)Pane Chalupo, prosím o aktualizaci zprávičky. Z toho, jak jste ji formuloval vyplývá, že zranitelnost stále trvá. Většina uživatelů, kteří instalují rozšíření, má současně zapnutou (nevypnutou) aktualizaci. Tato dvě zmíněná rozšíření, která nepoužívala .jar archivaci, byla minulý týden již aktualizována. Mozilla vývojáře těchto rozšíření kontaktovala dříve, než pustila tuto zprávu do světa.
-
tomas13579 (neregistrovaný)http://downloadstatusbar.mozdev.org/changelog.html
podla tejto stranky je uz download statusbar opraveny od 22.1.2008 :-/
